Le gouvernement canadien a publié un guide incitant les citoyens à utiliser un VPN lorsqu'ils se connectent à des réseaux Wi-Fi publics. Quelques jours auparavant, ce même gouvernement avait proposé une réglementation qui, selon le secteur, pourrait sonner le glas des services de VPN privés au Canada. La réaction des entreprises a été immédiate et particulièrement virulente. Le nouveau projet de loi C-22 a suscité une vive polémique. Les fournisseurs de services de chiffrement avertissent que le Canada tente de créer un système de conservation massive des données qui obligera les entreprises à stocker les journaux d'activité des utilisateurs et à mettre en place des mécanismes permettant aux forces de l'ordre d'accéder aux communications. Le 19 mai, Sécurité publique Canada a publié un message sur X conseillant aux utilisateurs de protéger leurs données lorsqu'ils utilisent des points d'accès Wi-Fi publics. Le message contenait une recommandation claire : utiliser un VPN. Le problème, c'est que quelques jours auparavant, le projet de loi C-22 avait semé la panique chez les principaux fournisseurs de ces services. Ce texte législatif obligerait les entreprises technologiques à conserver les métadonnées des utilisateurs pendant un an et à créer des « capacités techniques » pour les services de police et de renseignement. Pour les services VPN, cette disposition sonne comme un coup fatal. La plupart des fournisseurs populaires fondent leur réputation sur une politique de « non-conservation des journaux », c'est-à-dire qu'ils ne stockent aucune donnée utilisateur.

Le fournisseur canadien de VPN Windscribe a réagi avec la plus grande fermeté. L'entreprise a publiquement ridiculisé les agissements du gouvernement, répondant à son tweet avec ironie et indignation. Les représentants de Windscribe ont écrit que le Canada exhorte simultanément ses citoyens à protéger leur vie privée tout en promouvant une loi qui rendra pratiquement impossible le fonctionnement des VPN sans suivi des utilisateurs. L'entreprise a également déclaré que si le projet de loi était adopté en l'état, elle envisagerait de délocaliser son siège social hors du Canada. Pour Windscribe, le problème est particulièrement aigu. Son siège social étant à Toronto, la nouvelle réglementation l'affecterait directement. Contrairement aux services étrangers, elle ne peut pas simplement fermer quelques serveurs locaux et poursuivre ses activités. Dans une publication, l'entreprise a affirmé sans ambages que « le projet de loi C-22 doit être rejeté », répétant cette phrase à plusieurs reprises dans un même message. Windscribe n'est pas la seule entreprise à annoncer un possible retrait du Canada. NordVPN a également déclaré qu'elle n'accepterait pas de compromettre sa propre architecture de sécurité. L'entreprise a indiqué que si la réglementation l'obligeait à conserver des données utilisateur ou à affaiblir son chiffrement, elle envisagerait de limiter ses activités au Canada, voire de quitter complètement le marché. L'application de messagerie Signal a émis un avertissement similaire. Les développeurs de l'application insistent depuis longtemps sur le fait qu'ils ne peuvent pas transmettre aux autorités des données utilisateur qu'ils ne stockent pas.

Les nouvelles réglementations ne sont pas seulement critiquées par les entreprises de protection de la vie privée. Shopify a également pris position. Son PDG, Tobi Lütke, a écrit que la loi C-22 semble être une « grave erreur » susceptible de nuire sérieusement au secteur technologique canadien. Les géants du numérique ont également émis des critiques. Apple a averti que le projet de loi pourrait permettre l'insertion de portes dérobées dans les systèmes de chiffrement. Meta, de son côté, met en garde contre le risque que la réglementation n'oblige les entreprises à installer des mécanismes de surveillance à l'insu des utilisateurs. L'élément le plus controversé du projet de loi concerne la conservation obligatoire des métadonnées de tous les utilisateurs pendant une durée maximale de 365 jours. Ses détracteurs soulignent que des solutions similaires ont déjà été contestées par les tribunaux européens. Les experts en matière de protection de la vie privée soulignent que la collecte massive de données auprès de populations entières a été maintes fois considérée comme une violation des droits civils dans l'Union européenne. Le projet de loi envisage également la possibilité d'émettre des injonctions secrètes à l'encontre des entreprises technologiques. Les fournisseurs de services pourraient être tenus de mettre en œuvre certains dispositifs de surveillance, mais ne seraient pas autorisés à informer leurs clients de l'existence de telles injonctions.

Cette question commence à susciter des tensions à l'extérieur du Canada. Des présidents de commissions parlementaires américaines ont averti que la nouvelle réglementation pourrait menacer la vie privée des citoyens américains. Selon des élus américains, le Canada pourrait mettre en place un mécanisme pour imposer un affaiblissement du chiffrement dans les systèmes utilisés par les entreprises opérant des deux côtés de la frontière. C’est la question des portes dérobées qui suscite le plus d’inquiétudes chez les experts. Le secteur de la sécurité insiste depuis des années sur le fait qu’il n’existe pas de « faille de sécurité » accessible uniquement aux services de sécurité. Dès qu’un système est fragilisé, il devient une cible potentielle pour les cybercriminels, les services de renseignement étrangers et les groupes de pirates informatiques. Les autorités canadiennes tentent d'apaiser les tensions. Un porte-parole du ministre de la Sécurité publique a assuré que le projet de loi n'obligerait pas les entreprises à installer des portes dérobées ni à mettre en place un système de surveillance de masse des citoyens. Le problème, c'est que le secteur interprète les dispositions du projet de manière totalement différente. Pour les fournisseurs de VPN, la simple obligation de développer des « capacités d'accès technique » implique la nécessité de créer un système de surveillance.